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= (54) Title: METHOD FOR CARRYING OUT A SECURE ELECTRONIC TRANSACTION USING A PORTABLE DATA SUP- 
= PORT 

H (54) Bezeichnung: VERFAHREN ZUM AUSFUHREN EINER GESICHERTEN ELEKTRONISCHEN TRANS AKTION UNTER 
S VERWENDUNG EINES TRAGBAREN DATENTRAGERS 

(57) Abstract: A method for carrying out a secure electronic transac- 
tion on a terminal using a portable data support is disclosed. Accord- 
ing to the invention, a user (30) first authenticates themselves to the 
portable data support (20). The portable data support (20) generates 
quality information (20) on how the authentification occurred, which 
is verified for the terminal (14). The portable data support (20) then 
carries out a security-based operation within the context of the trans- 
action, for example, the generation of a digital signature. The result of 
the security-based operation is added to the quality information. 

(57) Zusammenfassung: Vorgeschlagen wird ein Verfahren 
zum Ausfuhren einer gesicherten elektronischen Transaktion an 
einem Terminal unter Verwendung eines tragbaren Datentragers. 
VerfahrensgemaB authentifiziert sich zunachst ein Nutzer (30) ge- 
genuber dem tragbaren Datentrager (20). Dabei erzeugt der tragbare 
Datentrager (20) eine Qualitatsinformation dariiber, auf welche Weise 
die Authentifizierung erfolgte. Die Authentifizierung wird dem 
Terminal (14) bestatigt. AnschlieBend ruhrt der tragbare Datentrager 
(20) im Rahmen der Transaktion eine sicherheitsbegriindende 
Operation aus, beispielsweise die Erstellung einer digitalen Signatur. 
Dem Ergebnis der sicherheitsbegriindenden Operation fiigt er die 
Qualitatsinformation bei. 
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Verf ahrert zum Ausfuhren einer gesicherten elektronischen Transaktion 
unter Verwendung eines tragbaren DatentrSgers 

Die Erfindung geht aus von einem Verf ahren nach der Gattung des 
5 Hauptanspruchs. Ein solches ist zum Beispiel aus dem ,,Handbuch der 
Chipkarten", W. Rankl, W. Effing, 3. Auflage, 1999, S. 692 bis703 unter dem 
Titel „Digitale Signatur" bekannt. Zur Vornahme einer rechtsverbindlichen 
elektronischen Signatur soli danach eine digitale Signaturkarte eingesetzt 
werden, auf der sich ein geheimer Signaturschliissel befindet. Die Vornahme 

10 einer Signatur erfolgt an einem geeigneten Terminal, von dem die Karte ein 
zu signierendes Dokument in elektronischer Form erhalt Um eine Signatur 
vornehmen zu konnen, mufi der Nutzer der Karte iiber das Terminal seine 
Identitat nachweisen. Regelmafiig erfolgt dieser Nachweis durch Eingabe 
einer PIN (Personen-Identifikations--Niimmer), welche mit einer in der Karte 

15 gespeicherten Ref erenz-PIN verglichen wird. Zukiinftig ist vorgesehen, die 
Nutzerauthentifizierung durch Prtifung eines biometrischen Merkmales, 
etwa eines Fingerabdruckes, vorzunehmen. Wurde ein elektronisches Do- 
kument nach erf olgreicher Authentif izierung des Nutzers init Hilf e einer 
Signaturkarte signiert, kann es anschliefiend auf beliebige Weise weitergege- 

20 ben werden. Mit Hilf e der elektronischen Signatur wird es moglich, beson- 
ders sicherheitskritische Transaktionen, etwa die Erteilung von kostenbehaf- 
teten Dienstleistungsauftragen, auf elektronischem Wege durchzufuhren. 

Durch die beabsichtigte Einfiihrung biometrischer Merkmale zur Benut- 
25 zerauthentif izierung wird eine weitere Verbesserung der Vertrauenswur- 
digkeit einer elektronischen Signatur gegentiber der bislang ublichen PIN- 
Authentifizierung erreicht, weil dadurch sichergestellt ist, dafi eine Benut- 
zung der Signaturkarte nur in Anwesenheit einer definierten, dazu berech- 
tigten Person erf olgen kann. 

30 
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Der hierm verwirklichte QuaBtatsunterschied hinsichtlich der Nutzerauthen- 
tifizierung findet in der Nutzbarkeit der jeweils erzeugten elektronischen 
Signatur bislang jedoch keinen Niederschlag. 

5 Es ist Auf gabe der Erfindung, ein Verfahren zum Ausftihren einer gesicher- 
ten elektronischen Transaktion unter Verwendung eines tragbaren Datentra- 
gers anzugeben, das der Qualitat der durchgefiihrten Nutzerauthentifizie- 
rung Rechnung tragt. 

10 Diese Aufgabe wird gelost durch ein Verfahren mit den Merkmalen des 

Hauptanspruchs. Die Aufgabe wird ferner geldst durch einen tragbaren Da- 
tentrager, ein Terminal sowie ein System zur Durchfuhrung einer gesicher- 
ten elektronischen Transaktion gemafi den unabhangigen Anspriichen 20, 25 
und30. 

15 

Erfindungsgemafi wird bei der Ausfuhrung einer Nutzerauthentifizierung 
von dem ausfiihrenden Datentrager eine Qualitatsinformation tiber die ein- 
gesetzte Authentifizierungsmethode erzeugt. Dieser Beleg wird dem Ergeb- 
nis einer von dem tragbaren Datentrager nachf olgend ausgefuhrten sicher- 

20 heitsbegriindenden Operation beigefugt. Fiir den Empf anger einer so gebil- 
deten Botschaft ist damit eindeutig erkennbar, auf welche Weise sich ein 
Nutzer vor Durchfuhrung der sichheitsbegrundenden Operation authenofi- 
ziert hat. Damit erSffnet sich dem Empfanger die MOglichkeit, die Ausfuh- 
rung einer gesicherten Transaktion von der Qualitat der Nutzerauthentifizie- 

25 rung abhangig zu machen. So kann etwa bei einer GeldbOrsenanwendung 
vorgesehen sein, dafi die Entnahme eines unterhalb eines Grenzwertes lie- 
genden Geldbetrags von einem Konto nach PIN-Authentifizierung erf olgen 
kann, die Entnahme von tiber dem Grenzwert Uegenden Geldbetragen da- 
gegen nur nach Authentifizierung mittels eines biometrischen Merkmals. 
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Besonders vorteilhaft wird das erfindungsgemafie Verfahren im Rahmen der 
elektrorrischen Signatur eingesetzt. 

In einer bevorzugten Ausfuhrungsf orm ist die Durchftihrung der verschie- 
5 denen mQglichen Nutzerauthentifizierungsmethoden so gestaltet, dafi die 
Ausf iihrungszwischenergebrdsse der qualitativ niederwertigeren Methode 
rdcht in einf acher Weise in Ausfuhrungszwischenergebnisse einer qualitativ 
hSherstehenden Methode uberfuhrt werden konnen Damit wird erreicht, 
dafi eine Manipulation eines Authentifizierungsbeleges selbst dann nicht 
10 moglich ist, wenn einem unberechtigten Nutzer sowohl ein tragbarer Daten- 
trager wie eine zugehorige, niederwertige Authentisierungsinformation zur 
Verfiigung steht, d. h. wenn ein unberechtigter Nutzer beispielsweise einen 
tragbaren Datentrager zusammen mit einer zugehOrigen PIN besitzt. 

15 Vorteilhaft werden weiter die bei der Durchfiihrung einer Nutzerauthentifi- 
zierung jeweils nicht eingesetzten Authentifizierungsmethoden fiir die Dau- 
er der Authentifizierung gesperrt. 

Unter Bezugnahme auf die Zeichnung wird nachfolgend ein Ausftthrungs- 
20 beispielderErfindungnahererlautert. 

Zeichnung 
Es zeigen: 

25 Figur 1 die Struktur eines Systems zur Vornahme einer digitalen 
Signatur, 

Figuren 2, 3 den Ablauf der Durcriiihrung einer digitalen Signatur als 
Flufidiagramm. 
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Figur 1 veranschaulicht die Grundstruktur eines Transaktionssystems zur 
Ausfiihrung einer gesicherten elektronischen Transaktion. Wesentiiche Ele- 
mente der Struktur im Hinblick axif die Erfindung sind ein Hintergrundsy- 
stem 10, das fiber ein Datennetz 12 mit einem Terminal 14 verbunden ist, ein 
5 tragbarer Datentrager 20, der von einem Nutzer 30 mitgefiihrt wixd und zur 
Ausfiihrung einer sicherheitsbegriindenden Operation im Rahmen einer 
Transaktion eingerichtet ist, sowie ein Datensatz 40, der im Rahmen einer 
auszuf uhrenden Transaktion sicher gehandhabt werden soil. 

10 Fur die gesicherte elektronische Transaktion wird im folgenden von einer 
Transaktion ausgegangen, welche die Erzeugung einer digitalen Signatur auf 
Seiten des Nutzers 30 erf ordert. Eine solche Transaktion kann etwa die 
Durchfuhrung eines Bankgeschaftes sein, bei dem das Konto des Nutzers 30 
belastet wird. Die beschriebene Losung ist aber nicht auf Transaktionen be- 

15 schrankt, die eine digitale Signatur erf ordern,. sondern gundsatzlich in jeder 
Anwendung einsetzbar, bei der ein tragbarer Datentrager 20 von einem 
Terminal 14 zugefiihrte Datensatze 40 bearbeitet und an das Terminal 14 zu~ 
riickgibt. 

20 Das Hintergrundsystem 10 steht stellvertretend fur eine Einrichtung, welche 
die eigentliche Transaktion vornimmt, etwa die Bewegung von Geld zwi- 
schen zwei Konten oder die Einleitung einer Warenauslieferung aufgrund 
einer Bestellung. Das Hintergrundsystem 10 kann entsprechend ein komple- 
xes, aus vielen Einzelkomponenten bestehendes System sein oder auch, im 

25 Extremf all, ganzlich wegf alien. Ist die Transaktion eine Kontobewegungs- 
anwendung, wird das Hintergrundsystem 10 typischerweise durch eine 
Bankzentrale gebildet. 
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Das Datennetz 12 dient zum Austausch von Daten zwischen einem Tenninal 
14 urid dem Hintergrundsystem 10. Bs kann jede beliebige physikalische 
Auspragungsf orm besitzen und beispielsweise durch das Internet oder ein 
Mobilfunknetz realisiert sein. 

5 

Das Terminal 14 bildet die nutzerseitige Schnittstelle des Transaktionssy- 
stems und verffigt hierzu fiber Wiedergabemittel 16, typischerweise in Ge- 
stalt einer Bildanzeige, sowie Eingabemittel 18, etwa in Gestalt einer Tasta- 
tur. Das Terminal 14 kann ein Offentlich zugangliches Terminal, etwa ein in 
10 emerBankaufgesteUtesGeratoderemimPrivatbereicheinesNutzers30 

befindliches Gerat, etwa ein PC oder ein Handy sein. Mit dem Datennetz 12, 
damit mit einem Hintergrundsystem 10 k5nnen ein oder mehrere Terminals 
14 verbunden sein, die dabei von unterschiedlicher Bauart sein k6nnen. Das 
Terminal 14 verfugt fiber eine Schnittstelle 19 zur Kommunikation mit einem 
15 tragbaren Datentrager 20. Die Schnittstelle 19 kann von beliebiger physikali- 
scher Ausftihrung, insbesondere von einem kontaktbehafteten oder von eine 
berfihrungslos arbeitenden Typ sein. 

Das Terminal 14 besitzt f erner eine, im f olgenden als Sensor bezeichnete, 
20 Sensoreinrichtung 15 zur Erfassung eines biometrischen Merkmales eines 
Nutzers 30. Durch den Sensor 15 erfafibar sein konnen physiologische 
Merkmale, wie Gesichtsmerkmale, Merkmale des Auges oder Fingerabdrfik- 
ke, oder verhaltensbasierte Merkmale wie etwa durch Stimme oder durch 
Schreibvorgange ausgedrttckte Sprech- oder Schriftsequenzen. In Fig.l ist ein 
25 als Sensor 15 Fingerabdrucksensor angedeutet. Der Sensor 15 kann zur Auf- 
nahme mehrerer verschiedener biometrischer Merkmale ausgebildet sein. 
Tea des Sensors 15 sind weiter Mittel zur Vorauswertung eines aufgenom- 
menen biometrischen Merkmales. Dabei werden die aufgenommenen Infor- 
mationen reduziert und auf bestimmte, charakteristische Primarmerkmale 



WO 2004/03866S 



PCT/EP2003/011761 



-6- 



zmuckgefuhrt. Die verschiedenen Typen und die Durchfuhrung biometri- 
scher Authentifizierungsverfahren sind beispielsweise in dem eingangs ge- 
nannten ^Handbuch der Chipkarten", Kapitel 8.1.2, beschrieben. 

5 Bei dem tragbaren Datentrager 20 handelt es sich beispielsweise um eine 
Chipkarte, wie sie in gleichf alls dem „Handbuch der Chipkarten" ausfiihr- 
lich beschrieben ist. Figur 1 deutet fiir den tragbaren Datentrager 20 insbe- 
sondere eine kontaktbehaf tete Chipkarte mit einem Kontaktf eld 22 an, wel- 
ches eine zu der terminalseitigen Schnittstelle 19 korrespondierende Schnitt- 

10 stelle bildet. Uber die Schnittstellen 22, 19 erfolgt die Kommunikation zwi- 
schen Chipkarte 20 und Terminal 14. Aufier der Gestalt einer Chipkarte kann 
der tragbare Datentrager 20 beliebige andere Gestaltungen aufweisen und 
beispielsweise in einem vom Nutzer 30 getragenen Bekleidungsstiick oder 
einen vom Nutzer 30 mitgefuhrten Gebrauchsgegenstand realisiert sein. 

15 

Der tragbare Datentrager 20 besitzt einen integrierten Schaltkreis 24, welcher 
alle Elemente eines ublichen Computers aufweist, insbesondere einen Mi- 
kroprozessor 25 sowie Speichermittel 26. Der Mikroprozessor 25 ist zur Aus- 
fuhrung einer sicherheitsbegrtindenden Operation eingerichtet. Beispiels- 

20 weise ist er dazu eingerichtet, einen zugefuhrten Datensatz 40, der im fol- 
genden als elektronisches Dokument 40 bezeichnet wird, einem kryptogra- 
phischen Algorithmus zu unterwerfen, wobei er wenigstens einen geheimen 
Schltissel benutzt, der in den Speichermitteln 26 abgelegt ist. Der Mikropro- 
zessor 25 ist ferner dazu eingerichtet, weitere Funktionalitaten gemafi in den 

25 Speichermitteln 26 abgelegten Programmen zu realisieren. 

Der tragbare Datentrager 20 ist weiter zur Ausfuhrung wenigstens eines, 
zweckmafiig jedoch mehrerer verschiedener Nutzerauthentifizierungsme- 
thoden eingerichtet. Vorzugsweise untersriitzt er wenigstens zwei im Hin- 
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blick auf die Qualitat der Authentifizierung verschiedenwertige Authentifi- 
zierungmethoden. Zweckmafiig unterstiitzt er zumindest eine wissensbasier- 
te Authentifizierungmethode, etwa eine PIN-Prufung, sowie wenigstens eine 
biometrische Methode, in deren Rahmen ein am Terminal 14 zu prasentie- 

5 rendes biometrisches Merkmal des Nutzers 30 gepriift wird. Die biometri- 
sche Methode bildet hierbei die qualitativ hoherwertige, da sie die persSnli- • 
che Anwesenheit des Nutzers (30) voraussetzt; bei der wissenbasierten Me- 
thode ist dies nicht gewahrleistet, das Wissenkann von einer unberechtig- 
tem Nutzer erlangt worden sein. Entsprechend sind in den Speichermitteln 

10 26 zumindest ein vom Nutzer 30 vorzulegendes Geheimnis, also etwa eine 
einem Benutzer 30 zugeordnete Referenz-PIN sowie wenigstens ein einem 
Benutzer 30 zugeordneter biometrischer Referenzdatensatz hinterlegt. 
Zweckmafiig kann vorgesehen sein, dafi der tragbare Datentrager 20 mehr 
als zwei Authentifizierungsmethoden unterstiitzt, insbesondere weitere 

15 • biometrische Methoden Entsprechend sind in diesem Fall in den Speicher- 
mitteln 26 weitere Geheimnisse und/oder Referenzdatensatze hinterlegt und 
ist der integrierte Schaltkreis 24 dazu eingerichtet, die weiteren Authentifi- 
zierungsmethoden durchzuftihren. 

20 Nachf olgend wird anhand der Figuren 2 und 3 die Ausfuhrung einer gesi- 
cherten elektronischen Transaktion unter Verwendung der in Figur 1 gezeig- 
ten Struktur beschrieben. Als sicherheitsbegrtindende Operation soli dabei 
ein elektronisches Dokument 40 signiert warden. 

25 Eingeleitet wird die Nutzung durch Erstellung eines elektronischen Doku- 
mentes 40 im Hintergrundsystem 10 oder im Terminal 14, Schritt 100. In der 
Regel geht der ErsteUung ein auslosender Dialog zwischen einem Nutzer 30 
und dem Hintergrundsystem 10 iiber das Terminal 14 voran Spatestens 
wenn ein elektronisches Dokument 40 im Terminal 14 vorliegt, veranlafit 
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dieses den Start der Signaturanwendung, Schritt 102. Die Startveranlassung 
kann dabei automatisch durch das Terminal 14 oder das Hintergrundsystem 
10 erfolgen oder wird von dem Nutzer 30 eingeleitet, nachdem das Terminal 
14 diesen dazu mittels einer geeigneten Darstellung auf der Anzeigevorrich- 
5 rung 16 dazu aufgefordert hat. 

Nachdem die Signaturanwendung gestartet wurde, prasentiert der Nutzer 
30dem Terminal 40 einen geeigneten tragbaren Datentrager 2o, Schritt 104. 
Ftir den tragbaren Datentrager 20 wird im folgenden die Gestalt einer kon- 
10 taktbehafteten Chipkarte zugrunde gelegt. Weiter wird nachf olgend davon 
ausgegangen, dafi die Chipkarte 20 zwei Aumentifizierungsmethoden unter- 
sriitzt, namlich eine PIN-Priifung als wissensbasierte, qualitativ niederwerti- 
ge Methode, sowie eine Fmgerabdruckprufung als biometrische, qualitativ 
hfiherwertige Methode. 

15 

Hat das Terminal 14 die Anwesenheit einer Chipkarte 20 erkannt, fuhrt es 
zunachst eine wechselseitige Authentisierung mit dieser durch, Schritt 106, 
wobei zunachst die Chipkarte 20 dem Terminal 14 die ihre, anschlieCend das 
Terminal 14 der Chipkarte 20 seine Authentizitat nachweist. 

20 

Verlauft die Authentisierung erf olgreich, handeln Terminal 14 und Chipkar- 
te 20 dynamische Sitzungsschlussel aus, um die weitere Kommunikation ge- 
sichert im sogenannten „Secure Messaging"-Modus fiihren zu konnen, 
Schritt 108. Wegen Einzelheiten zum Konzept des Secure Messagings sowie 
25 dynamischen Sitzungsschlusseln wird wiederum auf das „Handbuch der 
Chipkarten" verwiesen. 

Anschliefiend erf olgt die Authenafizierung des Nutzers 30 gegeniiber der 
Chipkarte 20. Hierbei prttft das Terminal 14 zunachst, auf welche Weise - 
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wissensbasiert, also dutch Eingabe einer PIN oder biometrisch, d.h. durch 
Prasentation eines Fingerabdruckes - die Authentifizierung erfolgen soli, 
Schritt 110. Die Festlegung einer Authentifizierungsmethode kann auf grund 
von mit dem elektronischen Dokument 40 ubermittelten Infonnationen 
5 selbsttatig durch das Terminal 14 erfolgen, sie kann aber auch iiber die An- 
zeigevorrichtung 16 dem Nutzer 30 als Entscheidungsaufforderung vorge- 
legt werden Im letzteren Fall trifft den Nutzer 30 mittels der Eingabemittel 
18 eine Entscheidung. 

10 Soli die Authentifizierung des Nutzers 30 wissensbasiert, d.h. durch Eingabe 
einer PIN erfolgen, sperrt die Chipkarte 20 die weiteren mSglichen Authenti- 
fizierungsmethoden, d.h. die FingerabdruckprQfung, Schritt 112, und fordert 
den Nutzer 30 fiber die Anzeigevorrichtung 16 auf, seine PIN iiber die Ein- 
gabemittel 18 einzugeben. 

15 

Der Nutzer 30 gibt daraufhin iiber die Eingabemittel 18 die PIN ein und das 
Terminal 14 leitet sie direkt oder abgewandelt iiber die Schnittstelle 19, 22 an 
die Chipkarte 20 weiter, Schritt 114. Die tJbermittlung der PIN bzw. der dar- 
aus abgeleiteten Information wie die nachf olgend Kommunikation mit der 
20 Chipkarte wird zusatzlich unter Verwendung der ausgehandelten Sitzungs- 
schliissel gesichert. Zweckmafiig erf olgt die gesamte Kommunikation zwi- 
schen Terminal 14 und Chipkarte 20 im Secure Messaging Modus. 

Diese priift die ubermittelte PIN und bestatigt im Gutf all dem Terminal 14 
25 dieKorrekmeit,bzw.brichtdasVerfahrenab,wenndiePINalsfalschge- 

priift wurde, Schritt 116. 



1st der Gutf all gegeben, veranlafit das Terminal 14 die Chipkarte 20 durch 
entsprechend Bef ehle zur Durchfiihrung der sicherheitsbegriindenden Ope- 
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ration, d.h. der digitalen Signatur, und ubermittelt der Chipkarte 20 das zu 
sigrderende elektronische Dokument 40, Schritt 118. 

Die Chipkarte 20 sigrdert das zugefuhrte elektronische Dokument 40 mit 
5 dem in den Speichermitteln 22 gespeicherten geheimen Schlussel, 120 und 
sendet die elektronische Signatur 40 zuriick an das Terminal 14, Schritt 122, 
welches damit die eingeleitete elektronische Transaktion weiterfiihrt. 

Ergibt die Priifung im Schritt 110, dafi die Aumentifizierung des Nutzers 30 
10 nicht wissensbasiert sondern biometrisch erfolgen soil, leitet das Terminal 14 
eine Authentif izierung gegen Prasentation eines biometrischen Merkmales 
ein und macht der Chipkarte 20 eine entsprechende Mitteilung, Schritt 130. 
Die Chipkarte 20 sperrt daraufhin die nun nicht eingesetzten weiteren Au- 
thentifizierungsmethoden, d.h. die wissensbasierten PIN-Pnifung, Schritt 
15 132. 

Nachfolgend prasentiert der Nutzer 30 dem Terminal 14 entsprechend der 
eingesetzten Authentifizierungsmethode einbiometrisches Merkmal, d.h. 
einen Fingerabdruck, Schritt 134. Die Aufforderung zur Prasentation des 
20 Fingerabdrucks erfolgt vorzugsweise durch eine entsprechende Darstellung 
auf der Anzeigevorrichtung 16 des Terminals 14. Der Fingerabdruck wird 
durch den am Terminal 14 vorgesehenen Sensor 15 erf afit. 

Das erfafite biometrische Merkmal, d.h. den Fingerabdruck des Nutzers 30 
25 unterwirft das Terminal 14 einer Vorverarbeitung, in der es aus dem am Sen- 
sor 15 gewonnenen Signal bestimmte kennzeichnende Merkmale extrahiert, 
Schritt 136. Bei Verwendung eines Fingerabdrucks werden beispielsweise 
Primarmerkmale des „Klassifikationsverfahrens nach Henry" ermittelt, wie 
es in dem „Handbuch der Chipkarten" beschrieben ist. 
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Die extrahierten Merkmale iibermittelt das Terminal 14 fiber die Schnittstelle 
19, 22 an den tragbaren Datentrager 20, Schritt 138. 

5 Nach Eingang dort fuhrt dieser eine Verifikation der iibermittelten extrahier- 
ten Merkmale durch, Schritt 140. Hierbei vergleicht der integrierte Schalt- 
kreis 24 die erhaltenen extrahierten Merkmale mit den in den Speichermit- 
teln gespeicherten Ref erenzmerkmalen imd prfift, ob eine hinreichende 
Ubereinstimmung vorliegt. 1st das der Fall, bestatigt der tragbare Datentra- 
10 ger 20 dem Terminal 14 die erf olgreiche Verifikation des ubermittelnden • 
biometrischen Merkmales, Schritt 142. Weiter schaltet sich der tragbare Da- 
tentrager 20 zur Ausfiihrung der beabsichtigte sicherheitsbegrtindenden 
Operation, d.h. zur Vornahme einer digitalen Signatur, bereit. 

15 Nach Erhalt der Bestatigung fiber eine erfolgreiche Verifikation der Authen- 
tifizierung veranlafit das Terminal 14 den Datentrager 20 durch entspre- 
chende Befehle, die digitale Signatur auszuftihren, Schritt 144. Zusammen 
mit den Befehlen fibermittelt das Terminal 14 dem tragbaren Datentrager 20 
dabei das zu signierende elektronische Dokument 40 oder zumindest Teile 

20 davon. 

Der integrierte Schaltkreis 24 des tragbaren DatentrSgers 20 fuhrt daraufhin 
die zur Erstellung einer digitalen Signatur erforderlichen Operationen durch, 
Schritt 146. Typischerweise bildet er hierbei einen Hashwert fiber den erhal- 
25 tenen Teil des elektronischen Dokuments 40 und verschlfisselt diesen mit 
einem in den Speichermitteln 26 gespeicherten, geheimen Schlfissel eines 
asymmetrischen, aus einem geheimen und eine off entlichen Schlfissel beste- 
henden Schlfisselpaares. 
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Desweiteren bildet der integrierte Schaltkreis 24 eine Qualitatsinf ormation, 
Schritt 148, die quittiert, dafi die Aumentifizierung des Nutzers 30 unter 
Verwendung eines biometrischen Merkmales erf olgte. Diese Qualitatsinfor- 
mation wird sodann f est mit der erstellten digitalen Signatur zu einer Si- 
5 cherheitsbotschaft verkniipft, zweckmafiig im Rahmen des „Secure Messa- 
ging" Mechanismus unter Verwendung der zuvor ausgehandelten Sitzungs- 
schlussel. 

Die so gebildete, aus digitaler Signatur und QuaUta^inf ormation bestehende 
10 Sicherheitsbotschaft sendet der tragbare Datentrager 20 zuriick an das Ter- 
minal 14, Schritt 150. Von hier wird die ubermittelte Sicherheitsbotschaft im 
Rahmen der ausgeflihrten gesicherten elektronischen Transaktion an den an 
der Transaktion beteiligten Empfanger, etwa ein Hintergrundsystem 10, wei- 
tergeleitet. 

15 

Zusatzlich zu der durch den tragbaren Datentrager 20 vorgenommenen si- 
cherheitsbegriindenden Operation erhalt der Empfanger der Sicherheitsbot- 
schaft dabei durch die darin enthaltene QuaHtatsinformation eine Angabe 
uber die Qualitat der vorgenommenen Authentifizierung des Nutzers 30. 

20 

Im vorbeschriebenen Beispiel wurde eine QuaHtatsinformation nur bei Ver- 
wendung einer biometrischen Authentifizierungsmethode ersteUt, nicht bei 
Verwendung einer wissensbasierten Methode. Damit signalisiert bereits das 
Fehlen einer QuaUtatsinformation die Verwendung einer quaititativ nieder- 
25 wertigeren Methode. SelbstverstandUch kann aber vorgesehen sein, dafi die 
Bildung einer Qualitatsinf ormation grundsatzhch erf olgt, d.h. unabhangig 
davon, ob zur Authentifizierung eine wissensbasierte oder eine biometrische 
Methode gewahlt wurde. 
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Unter Beibehaltung des grundlegenden Gedankens, dem Ergebnis einer von 
einem tragbaren Datentrager ausgefiihrten sicherheitsbegriindenden Opera- 
tion eine Qualitatsinf ormation iiber die Qualitat der zuvor durchgefuhrten 
Nutzerauthentifizierung beizuf tigen, gestattet das vorbeschriebene Konzept 
5 Weitere Ausgestaltungen tind Abwandlungen. Dies gilt fur die Gestaltung 
des bei der Ausfuhrung einer Transaktion eingesetzten Systems, das mehr 
und Kompohenten anderen Typs umf assen kann. Der beschriebene Verf ah- 
rensablauf kann f erner weitere Schritte, etwa Zwischenschritte umf assen. 
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Patentanspr uche 

1. Verfahren zum Ausfiihren einer gesicherten elektronischen Transaktion an 
einem Terminal unter Verwendung eines tragbaren Datentragers, wobei ein 

5 Nutzer sich gegemiber dem tragbaren Datentrager authentifiziert, der trag- 
bare Datentrager dem Terminal den Nachweis der Authentif izierung besta- 
tigt und der tragbare Datentrager anschliefiend im Rahmen der elektroni- 
schen Transaktion eine sicherheitsbegrundende Operation ausftihrt, 
dadurch gekennzeichnet, dafi der tragbare Datentrager (20) eine Qualitat- 
10 sinf ormation dariiber erstellt, auf welche Weise die Authentifizierung des 
Nutzers (30) erfolgte und diese Qualitatsinf ormation demErgebnis der si- 
cherheitsbegriindenden Operation beigefugt wird. 

2. Verf ahren nach Anspruch 1, dadurch gekennzeichnet, dafi die durch den 
15 tragbaren Datentrager (20) ausgefuhrte sicherheitsbegrundende Operation in 

der Erstellung einer digitalen Signatur besteht. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die Authentifi- 
zierung des Nutzers (30) durch Presentation eines biometrischen Merkmales 

20 vorgenommen wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dafi die Authentifi- 
zierung des Nutzers (30) durch Presentation eines fur einen Nutzer (30) cha- 
rakteristischen physiologischen oder verhaltensbasierten Merkmales vorge- 

25 nommen wird. 

5. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dafi die Authenti- 
fizierung des Nutzers (30) durch Nachweis der Kenntnis eines Geheimnisses 
vorgenommen wird. 
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6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi fur die Au- 
thentifizierung des Nutzers (30) wenigstens zwei verschiedene Authentifi- 
zierungsmethoden von unterschiedlicher Qualitat angeboten werden. 

5 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi die jeweils 
nicht eingesetzten Authentifizierungsmethoden gesperrt werden. 

8. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi fur eine Au- 
10 mentiftaerungsmethode keine Qualitatsinformation erzeugt wird. 

9. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dafi ein Nutzer (30) 
zur Auswahl einer Authentifizierungsmethode auf gef ordert wird. 

15 10. Tragbarer Datentrager zur Ausfiihrung einer sicherheitsbegriindenden 
Operation im Rahmen einer gesicherten elektronischen Transaktion, wobei 
sich ein Nutzer gegeniiber dem tragbaren Datentrager authentifiziert und 
der tragbare Datentrager einem Terminal die Authentif izierung bestatigt, 
dadurch gekennzeichnet, dafi er dazu eingerichtet ist, eine Qualitatsinf or- 

20 mation zu erstellen, welche angibt, auf welche Weise die Authentifizierung 
des Nutzers (30) durchgefiihrt wurde. 

11. Datentrager nach Anspruch 10, dadurch gekennzeichnet dafi der tragba- 
re Datentrager (20) zur Erstellung einer digitalen Signatur eingerichtet ist. 

25 

12. Datentrager nach Anspruch 10, dadurch gekennzeichnet dafi er wenig- 
stens zwei qualitativ verschiedene Authentifizierungsmethoden unterstutzt. 

13. Terminal zur Verwendung in Verbindung mit einem tragbaren Datentra- 
ger nach Anspruch 9, dadurch gekennzeichnet, dafi es Mittel aufweist (16, 
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18) aufweist, urn einen Nutzer (30) zur Auswahl einer von wenigstens zwei 
mSglichen Authentifizierungsmethoden zu veranlassen 

14. System zur Ausfuhrung einer gesicherten elektronischen Transaktion, in 
5 deren Rahmen die Qualitat der Authentifizierung eines Nutzers gegeniiber 
dem System festgestellt wird, umf assend einen tragbaren Datentrager nach 
Anspruch 10 sowie ein Terminal nach Anspruch 13. 
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